VERTRA 



ER DDE INTERNATIONALE ZUiAflM EN ARBEIT 

VWENS 



DEM GEBIET DES PATENT 

PCTT 



INTERN ATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 
PHD 99.099WO 


WEITERES siehe Mitteilung iiber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/EP 99/07012 


Internationales Anmetdedatum 
(Tag/Monat/Jahr) 

17/09/1999 


(Fruhestes) PrioritStsdatum (Tag/Monat/Jahr) 

30/09/1998 


Anmelder 

KONINKLIJKE PHILIPS ELECTRONICS N.V. et al . 



Dieser international e Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird 'dem Anmelder gemSB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationafe Recherchenbericht umfaBt insgesamt _3 Blatter. 

PH Dariiber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1. Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die international Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des SequenzprotokoHs durchgefuhrt worden, das 

| | in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

| | zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

I | Die Erklarung, daf3 das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

I | Die Erklarung, daG die in computerlesbarer Form erfaGten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

2. Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 

3. Q Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 



Hinsichtlich der Bezeichnung der Erfindung 

[X] wird der vom Anmelder eingereichte Wortiaut genehmigt. 
| | wurde der Wortiaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortiaut genehmigt. 

. . wurde der Wortiaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 

| | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. g 



PH wie vom Anmelder vorgeschlagen > Q keine der Abb. 

| | weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet. 
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° Besondere Kategorien von angegebenen Verbffentlichungen 
"A" Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum verbffentlicht worden ist 

"L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Ve rd ff ent lie hung sdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soli oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 
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Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein auf grund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Verbffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 
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(57) Abstract 

The invention relates to an encoding method and an encoding device. At least one partial cryptographic operation yi=fi(Xi, ki) is carried 
out by data x u ki which are digitally stored as data bit words and the result or intermediate results yi are digitally stored or temporarily 
stored as databit words. At least one of the data Xi, kj and/or the result or at least intermediate result yi is optionally complemented or not 
bit by bit to ce\, H\ and/or y, f in accordance with a control signal t\ based on random numbers. 

(57) Zusammenfassung 

Die vorliegende Erfindung betrifft ein Verschlusselungsverfahren sowie eine Verschltisselungsvorrichtung, wobei wenigstens eine 
kryptographische Teiloperation ys=fi(xi, ki) von digital als Datenbitworte gespeicherten Daten x it k-, ausgefuhrt und das jeweilige Ergebnis 
bzw. jeweilige Zwischenergebnisse yi digital als Datenbitworte abgespeichert bzw. zwischengespeichert werden. Hierbei wird wenigstens 
eines der Daten x it kj und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis y\ in Abhangigkeit von einem auf Zufallszahlen 
basierenden Steuersignal r\ wahlweise bitweise zu ce u Jci und/oder y\ komplementiert oder nicht. 



LEDIGUCH ZUR INFORMATION 

Codes zur Identifizienmg von PCT-Vertragsstaaten auf den Kopfbdgen der Schriften, die internationale Anmeldungen eemass dem 
PCT verdffentlichen. 



AL 


Albanien 


ES 


Span i en 


LS 


Lesotho 


SI 


Slowenien 


AM 


Armenien 


FI 


Finnland 


LT 


Lttauen 


SK 


Slowakei 


AT 


Osterreich 


FR 


Frankreich 


LU 


Luxemburg 


SN 


Senegal 


AU 


A us trali en 


GA 


Gabun 


LV 


Lettland 


sz 


Swasiland 


AZ 


Aserfoaidschan 


GB 


Vereinigtes Kdnigreich 


MC 


Monaco 


TD 


Tschad 


BA 


Bosnien -Herzegowina 


GE 


Georgien 


MD 


Republik Moldau 


TG 


Togo 


BB 


Barbados 


GH 


Ghana 


MG 


Madagaskar 


TJ 


Tadschikistan 


BE 


Belgien 


GN 


Guinea 


MK 


Die ehemalige jugoslawische 


TM 


Turkmenistan 


BF 


Burkina Faso 


GR 


Griec hen land 




Republik Mazedonien 


TR 


Tttrkei 


BG 


Bulgarien 


HU 


Ungarn 


ML 


Mali 


TT 


Trinidad und Tobago 


BJ 


Benin 


IE 


Irland 


MN 


Mongolei 


UA 


Ukraine 


BR 


Bras ili en 


IL 


Israel 


MR 


Mauretanien 


UG 


Uganda 


BY 


Belarus 


IS 


Island 


MW 


Malawi 


US 


Vcreinigte Staaten von 


CA 


Kanada 


IT 


Italien 


MX 


Mexiko 




Amerika 


CF 


Zentralafrikanische Republik 


JP 


Japan 


NE 


Niger 


uz 


Usbekistan 


CG 


Kongo 


KE 


Kenia 


NL 


Niederlande 


VN 


Vietnam 


CH 


Schweiz 


KG 


Kirgisistan 


NO 


Norwegen 


YU 


Jugoslawien 


CI 


C6tc d'lvoire 


KP 


Dempkratische Volksrepublik 


NZ 


Neuseeland 


zw 


Zimbabwe 


CM 


Kamerun 




Korea 


PL 


Polen 




CN 


China 


KR 


Republik Korea 


PT 


Portugal 






CU 


Kuba 


KZ 


Kasachstan 


RO 


Rum amen 






C2 


Tschechischc Republik 


LC 


St. Lucia 


RU 


Russische Federation 






DE 


Deulschland 


LI 


Liechtenstein 


SD 


Sudan 






DK 


Dan em ark 


LK 


Sri Lanka 


SE 


Schweden 






EE 


Estland 


LR 


Liberia 


SG 


Singapur 







WO 00/19656 




Verschlusselungsverfahren zum Ausflihren von kryptographischen Operationen. 



Die Erfindung betrifft eiri Verschlusselungsverfahren, wobei wenigstens eine 
kryptographische Teiloperation yi=fi(xi, ki) von digital als Datenbitworte gespeicherten Daten 
Xi, ki ausgefiihrt und das jeweilige Ergebnis bzw. jeweilige Zwischenergebnisse yi digital als 
Datenbitworte abgespeichert bzw. zwischengespeichert werden, gemaB dem Oberbegriff des 
5 Anspruchs 1. Die Erfindung betrifft ferner eine Verschlusselungsvorrichtung mit einer 
Berechnungseinheit und Registern Rj, wobei die Berechnungseinheit wenigstens eine 
kryptographische Teiloperation yi=fj(xj, ki) von digital in den Registern Rj der 
Verschlusselungsvorrichtung als Datenbitworte gespeicherten Operanden Xj, k; ausfiihrt und 
das jeweilige Ergebnis bzw. Zwischenergebnisse y\ digital in den Registern R\ der 
10 Verschlusselungsvorrichtung als Datenbitworte abspeichert bzw. zwischenspeichert, gemaB 
dem Oberbegriff des Anspruchs 8. 

In vielen Datenverarbeitungsgeraten dienen kryptographische Operationen zum 
15 Schutz des Betriebes dieser Gerate bzw. zum Schutz von in dem Gerat transportierten Daten. 
Die hierfur notwendigen Berechnungsoperationen werden dabei sowohl von Standard- 
Rechenwerken als auch von dedizierten Crypto-Rechenwerken durchgefuhrt. Ein typisches 
Beispiel fur letzteres sind Chipkarten bzw. IC-Karten. Bei derartigen kryptographischen 
Berechnungen, wie in Fig. 1 veranschaulicht, ist es oftmals notwendig, entsprechende 
20 Speicherbereiche bzw. Register des Datenverarbeitungsgerates mit Operanden Xj, ki zu 
initialisieren. Wahrend der i-ten Berechnung werden ggf . Zwischenergebnisse yi in 
Speicherbereichen oder Registern Rj abgelegt oder abschlieBend das Ergebnis der Berechnung 
zur Weiterverarbeitung in Speicherbereichen oder Registern abgelegt. Das Register r; befindet 
sich zwischen einer vorherigen i-ten kryptographischen Berechnung und einer nachfolgenden 
25 (i+l)-ten kryptographischen Berechnung. Bei den in diesem Zusammenhang verwendeten 
Daten Xj, k\ bzw. Zwischenergebnissen yj handelt es sich tiblicherweise um 
sicherheitsrelevante Informationen, wie beispielsweise kryptographische Schlussel oder 
Operanden. 
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Zur Berechnung der kryptographischen Algorithmen werden in den 
Daten verarbeitungsgeraten logische Verknupfungen zwischen Operanden ki bzw. 
Zwischenergebnissen y t bzw. xj, Xj+i durchgefiihrt. In Abhangigkeit von der verwendeten ^ 
5 Technologie fuhren diese Operationen, insbesondere das Laden der Speicherbereiche bzw. 

Register mit Daten, zu einem erhohten Stromverbrauch der Datenverarbeitungsgerate. Bei * 
komplementarer Logik, wie beispielsweise der CMOS-Technik, tritt ein erhohter 
Stromverbrauch dann auf, wenn der Wert einer Bit-Speicherzelle geandert wird, d.h. sein Wert 
sich von "0" auf "1" bzw. von "1" auf "0" andert. Der erhohte Verbrauch hangt dabei von der 

10 Anzahl der im Speicher bzw. Register geSnderten Bitstellen ab. Mit anderen Worten lasst das 
Laden eines zuvor geloschten Registers einen Stromverbrauch proportional zum 
Hamminggewicht des Operanden (= Anzahl der Bits mit dem Wert "1") bzw. der Differenz im 
Hamminggewicht ansteigen. Durch eine entsprechende Analyse dieser Stromanderung konnte 
es moglich sein, Informationen uber die berechneten Operationen zu extrahieren, so dass eine 

15 erfolgreiche Kryptoanalyse von geheimen Operanden, wie beispielsweise kryptographischen 
Schliisseln, moglich ist. Mittels Durchfuhrung mehrerer Strommessungen am 
Datenverarbeitungsgerat konnten beispielsweise bei sehr kleinen Signalanderungen eine 
hinreichende Extraktion der Informationen ermoglicht werden. Andererseits kSnnten mehrere 
Strommessungen eine ggf . erforderliche Differenzbildung ermoglichen. Diese Art der 

20 Kryptoanalyse wird auch als "Differential Power Analysis" bezeichnet, mittels derer ein 
AuBenstehender durch reine Beobachtung von Anderungen des Stromverbrauches des 
Datenverarbeitungsgerates eine ggf. unberechtigte Kryptoanalyse der kryptographischen 
Operationen, Algorithmen, Operanden bzw. Daten erfolgreich ausfuhren kann. 

Aus der US 5 297 201 ist es bekannt, einen Hochfrequenz abstrahlenden 

25 Computer mit einer Einrichtung zu kombinieren, welche ebenfalls Hochfrequenz ahnlich zu 

derjenigen des Computers abstrahlt. Dadurch ist es fur einen unberechtigten Dritten nicht mehr 
moglich, die Hochfrequenzabstrahlung des Computers zu dekodieren. Eine Kryptoanalyse 
durch einen Dritten, der unmittelbar Zugang zum Computer hat, kann dieses System jedoch 
nicht verhindern. 

30 Urn bei Chipkarten eine Korrelation zwischen einer Ausgabe eines Ergebnisses 

einer kryptographischen Operation bzw. einer Ubertragung einer SchlUsselinformation fur eine 
kryptographischen Operation und der kryptographischen Operation selbst zu beseitigen ist es 
aus Patent Abstracts of Japan 10069222 A bekannt, das Ergebnis der kryptographischen 
Operation bzw. die Ubertragung der SchlUsselinformation fur die kryptographischen 
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Operationen zeitlich zu verzSgern. Jedoch ist auch dieses System mittels der "Differential 
Power Analysis" analysierbar, da sich auch die verzogerte Datenubertragung im 
Stromverbrauch des Datenverarbeitungsgerates verrat. ■ - ™ 



Es ist Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren sowie 
eine verbesserte Vorrichtung der obengenannten Art zur Verfiigung zu stellen, welche die 
obengenannten Nachteile beseitigen und eine erfolgreiche Kryptoanalyse mittels Beobachtung 
eines Stromverbrauches eines Datenverarbeitungsgerates wirksam verhindert. 

10 Diese Aufgabe wird durch ein Verfahren der o.g. Art mit den in Anspruch 1 

gekennzeichneten Merkmalen gelost. 

Dazu ist es erfindungsgemaB vorgesehen, dass wenigstens eines der Daten x;, kj 
und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis y; in Abhangigkeit von einem 
auf Zufallszahlen basierenden Steuersignal n wahlweise bitweise zu y=ffi$ und/oder y g 

15 komplementiert wird oder nicht. 

Dies hat den Vorteil, dass bei wiederholter Ausfuhrung derselben 
kryptographischen Operation andere Bitfolgen bearbeitet bzw. abgespeichert werden, so dass 
sich bei der jeweiligen Ausfuhrung einer kryptographischen Operation bzw. mehrerer 
kryptographischer Operationen andere Stromanderungen des Datenverarbeitungsgerates 

20 ergeben. Unabhangig vom eigentlichen Wert der Teilergebnisse wird somit bei wiederholter 
Ausfuhrung der Gesamtberechnung erreicht, dass jeder Datenpfad bei einer echten 
Zufallszahlenreihe gleichhaufig bzw. bei einer Pseudozufallszahlenreihe nahezu gleichhaufig 
von "0" auf "0", von "0" auf "1", von "1" auf "0" und von "1" auf "1" wechselt. Da jedoch das 
auf Zufallszahlen basierende Steuersignal r ; nicht bekannt bzw. vorbestimmt ist, fehlt eine 

25 Korrelation zwischen den Stromanderungen und den Bitwerten der Daten und Ergebnisse, so 
dass eine "Differential Power Analysis" nicht mehr zu einer erfolgreichen Kryptoanalyse fiihrt. 
Mit anderen Worten enthalt der mittlere Stromverbrauch der Gesamtoperation keine 
brauchbare Information liber die verwendeten Teiloperanden bzw. Zwischenergebnisse in den 
Teiloperationen. 

30 Vorzugsweise Weitergestaltungen der Vorrichtung sind in den Anspriichen 2 

bis 7 beschrieben. 

ZweckmaBigerweise werden in den kryptographischen Teiloperationen eine 
oder mehrere XOR-Verkniifungen (Exklusiv-Oder-Verknufung) ausgefiihrt. 
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Die Daten umfassen beispielsweise kryptographische Schlussel und/oder 

Operanden. 

In einer bevorzugten Ausfuhrungsform werden Zwischenergebnisse y* zwischen 
der Ausfuhrung von aufeinander folgenden kryptographischen Teiloperationen in einem 
5 Register Ri zwischengespeichert und als Operand x.+i der nachfolgenden kryptographischen 
Teiloperationen zugefiihrt. 

Zum Herstellen eines originalen, nicht invertierten Wertes nach jeder 
Teiloperation wird eine aus dem Zwischenergebnis y; einer vorangegangenen Teiloperation i 
erhaltene Bitfolge x i+ i = y* fiir eine nachfolgende Teiloperation i+1 bitweise zu jc f+1 

10 komplementiert, wenn die Daten x i? ki der vorangegangenen Teiloperation i bitweise 

komplementiert wurden. 

In einer besonders bevorzugten Ausfiihrungsform werden bei der bitweisen 

Komplementierung wenigstens ein Bitwert, insbesondere die geraden Bitwerte, die ungeraden 

Bitwerte oder alle Bitwerte, eines Datenbitwortes x i5 ki, bzw. yi invertiert. Hierbei ist es 
15 besonders vorteilhaft, wenn eine Invertierung von Bitwerten bzw. Bitadressen eines 

Datenbitwortes x i9 k it bzw. y { bei der bitweisen Komplementierung mittels einer XOR- 

Operation (Exklusiv-Oder-Operation) durchgefuhrt wird. 

Bei einer Vorrichtung der o.g. Art ist erfindungsgemaB wenigstens ein von 

einem Steuersignal r, steuerbarer Inverter fur wenigstens eines der Daten x;, k* und/oder das 
20 Ergebnis bzw. wenigstens ein Zwischenergebnis y u ein Zufallszahlengenerator, welcher 

Zufallszahlen erzeugt, sowie eine Vorrichtung zum Erzeugen des Steuersignals n auf den 

Zufallszahlen basierend vorgesehen, wobei der steuerbare Inverter in Abhangigkeit von dem 

Steuersignal n wahlweise die Bitfolgen x i? kj bzw. y» zu ihrem bitweisen Komplement x n k f 

bzw. y. umsetzt oder unverandert lasst. 

25 Dies hat den Vorteil, dass bei wiederholter Ausfuhrung derselben 

kryptographischen Operation andere Bitfolgen bearbeitet bzw. abgespeichert werden, so dass 
sich bei der jeweiligen Ausfuhrung der kryptographischen Operation bzw. kryptographischen 
Operationen andere Stromanderungen des Datenverarbeitungsgerates ergeben. Unabhangig 
vom eigentlichen Wert der Teilergebnisse wird somit bei wiederholter Ausfuhrung der 

30 Gesamtberechnung erreicht, dass jeder Datenpfad bei einer echten Zufallszahlenreihe 

gleichhaufig bzw. bei einer Pseudozufallszahlenreihe nahezu gleichhaufig von "0" auf "0", von 
"0" auf 'T\ von "1" auf "0" und von M 1 H auf "l" wechselt. Da jedoch das auf Zufallszahlen 
basierende Steuersignal t\ nicht bekannt bzw. vorbestimmt ist, fehlt eine Korrelation zwischen 
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den Stromanderungen und den 6itwerten der Daten und Ergebnisse, so dass eine "Differential 
Power Analysis" nicht mehr zu einer erfolgreichen Kryptoanalyse fiihrt Mit anderen Worten 
enthalt der mittlere Stromverbrauch der Gesamtoperation keine brauchbareTnformation ttber 
die verwendeten Teiloperanden bzw. Zwischenergebnisse in den Teiloperationen. 
5 Vorzugsweise Weitergestaltungen der Vorrichtung sind in den Anspriichen 9 

bis 14 beschrieben. 

In einer bevorzugten Ausfiihrungsform ist wenigstens einem Register Rj ein 
Inverter nachgeschaltet, welcher das identische Steuersignal r; erhait, wie die der i-ten 
Teiloperation vorgeschalteten Inverter fiir die Daten Xi, ki. Dieser einem Register Rj der i-ten 
10 Teiloperation nachgeschaltete Inverter ist dabei bevorzugt mit einem der nachfolgenden (i+1)- 
ten Teiloperation vorgeschalteten Inverter fiir ein Eingangsdatum x i+ i kombiniert. Der 
kombinierte Inverter erhalt zweckmaBigerweise sowohl das Steuersignal n der 
vorangegangenen i-ten Teiloperation als auch das Steuersignal rj+i der nachfolgenden (i+l)-ten 
Teiloperation. 

15 Die Daten umfassen beispielsweise kryptographische Schliissel und/oder 

Operanden. 

In einer bevorzugten Ausfiihrungsform speichert ein Register Ri zwischen einer 
vorangegangenen i-ten Teiloperation und einer nachfolgenden (i-s-l)-ten Teiloperation ein 
Zwischenergebnis yi der vorangegangenen i-ten Teiloperation und leitet dieses 
20 Zwischenergebnis als Eingangswert x i+ i an die nachfolgende (i+l)-te Teiloperation weiter. 

ZweckmaBigerweise invertiert die bitweise Komplementierung wenigstens 
einen Bitwert, insbesondere die geraden Bitwerte, die ungeraden Bitwerte oder alle Bitwerte, 
eines Datenbitwortes Xj, ki, bzw. y^ 

25 

Nachstehend wird die Erfindung anhand der beigefugten Zeichnungen naher 
erlSutert. Diese zeigen in 

Fig. 1 ein Ablaufschema eines Teiles einer kryptographischen Operation 
gemaB dem Stand der Technik, 
30 Fig. 2 ein Ablaufschema eines Teiles einer ersten bevorzugten 

Ausfiihrungsform einer erfindungsgemaBen kryptographischen Operation und 

Fig. 3 ein Ablaufschema eines Teiles einer zweiten bevorzugten 
Ausfiihrungsform einer erfindungsgemaBen kryptographischen Operation. 
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Bei der in Fig. 2 dargestellten ersten bevorzugten Ausfiihrungsform eines 
erfindungsgemaBen Verschliisselungsverfahrens wird durch eine Kette von Teiloperationen 
fi(xi, ki), innerhalb derer ein oder mehrere logische XOR-Verknupfungen (Exklusiv-Oder- 
5 Verkniipfung) ausgefiihrt werden, eine kryptographische Gesamtoperation durchgefiihrt. 
Dargestellt sind zwei Teiloperationen, namlich die i-te Teiloperation 10 und die (i+l)-te 
Teiloperation 12, wobei jede Teiloperation von einer Berechnungseinheit ausgefiihrt wird. 
Jeder Teiloperation 10, 12 ist eine Speicherzelle oder ein Register Ri 14 bzw. eine 
Speicherzelle oder ein Register Rj 16 nachgeschaltet. Jede Teiloperation 10, 12 hat als 
10 Eingangswert ein Datum x;, Xj+i sowie einen Operanden ki, kj+i, welche als Datenbitworte zur 
Verfiigung stehen. 

Jeder Teiloperation 10, 12 vorgeschaltet ist jeweils ein steuerbarer Inverter 18 
bzw. 20 fur die Daten Xi, Xi+i sowie jeweils ein steuerbarer Inverter 22, 24 fur die Operanden 
ki, ki+i. Ferner ist bei jeder Teiloperation 10, 12 dem jeweiligen Register Rj 14 bzw. R i+ i 16 ein 

15 steuerbarer Inverter 26, 28 fur das Zwischenergebnis y u yi+i nachgeschaltet, wobei dieses 

Zwischenergebnis von dem jeweiligen Register Rj 14 bzw. Rj+i 16 als Eingangsdaten Xj+i bzw. 
Xi+2 an eine nachfolgende Teiloperation 12 weiter gegeben werden. Diese Inverter 18 bis 28 
sind durch ein Steuersignal r* bzw. ri+i derart steuerbar, dass sie in Abhangigkeit von dem 
jeweiligen Steuersignal n bzw. rj+i wahlweise die zugeordneten Datenbitworte bitweise 

20 komplementieren oder nicht, Hierbei erhalten alle Inverter 18, 22, 26 bzw. 20, 24, 28 einer 
Teiloperation 10 bzw. 12 dasselbe Steuersignal t\ bzw. r i+ i. Mit anderen Worten wird die 
Entscheidung, ob eine Invertierung der entsprechenden Eingangswerte der Inverter 18 bis 28 
durchgefiihrt wird oder ob die Eingangswerte unbearbeitet die Inverter 18 bis 28 durchlaufen, 
durch das zusatzliche Steuersignal rj bzw. rj+i entschieden. Diese Anordnung von Registern 

25 14, 16 zwischen Teiloperationen 10, 12 findet vor allem dann Anwendung, wenn die 

Teiloperationen 10, 12 zeitlich nacheinander von ein und derselben Einheit berechnet werden 
und somit die Teilergebnisse zwischengespeichert werden miissen. 

Das Steuersignal wird durch Zufallswerte aus einem Zufallsgenerator 
dahingehend gesteuert, dass die Teiloperation abhangig vom Wert der Zufallszahlen entweder 

30 das Originalergebnis y = f(x, k) oder das bitinvertierte Ergebnis y = /(3c, k) liefert. Hierdurch 
wird realisiert, dass sowohl die Berechnung als auch die Speicherung der Daten in den 
Registern Rj 14, 18 entweder mit Originalwerten oder mit bitinvertierten Werten durchgefiihrt 
wird. Unabhangig vom eigentlichen Wert der Teilergebnisse wird somit bei wiederholter 
Ausfuhrung der Gesamtberechnung erreicht, dass jeder Datenpfad gleich haufig von "0" auf 
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"0", von "0" auf "l n , von 4 "l" auf "0" und von "1" auf "1" wechselt. Der mittlere 
Stromverbrauch der Gesamtoperation enthalt somit keine brauchbare Information iiber die 
verwendeten Teiloperanden ki bzw. Zwischenergebnisse y t in den Teiloperationen 10, 12. Der 
dem Register 14, 16 nachgeschaltete Inverter 26, 28 stellt fur die folgende Teiloperation 12 
5 wieder den originalen, nicht invertierten Wert her. 

Die zweite bevorzugte Ausfuhrungsform des erfindungsgemaBen 
Verschlusselungsverfahrens gemaB Fig. 3 entspricht der ersten Ausfuhrungsform von Fig. 2 
mit dem einzigen Unterschied, dass die den Registern 14, 16 nachgeschalteten Inverter 26, 28 
mit dem jeweiligen Eingangsinverter 20 der folgenden Stufe 12 zu einem Inverter 30 
10 kombiniert sind. 

Die Inverter invertieren beispielsweise auch nur einen Teil der Bitwerte des 
jeweiligen Datenbitwortes. So werden beispielsweise nur die geraden oder ungeraden Bitworte 
bzw. Bitadressen invertiert. Die Invertierung der Bitwerte erfolgt beispielsweise mittels einer 
XOR-Operation (Exklusiv-Oder-Operation). 
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BEZUGSZEICHENLISTE: 



10 


i-te TeiloDeration 


12 


fi+lVte Teil operation 


14 


Register R* 


16 


Register Ri+i 


18 


steuerbarer Inverter fur Xi 


20 


steuerbarer Inverter fur xj+i 


22 


steuerbarer Inverter fiir kj 


24 


steuerbarer Inverter fiir kj+i 


26 


steuerbarer Inverter fiir 


28 


steuerbarer Inverter fiir y i+ i 


30 


kombinierter Inverter 
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1. Verschlusselungsverfahren, wobei wenigstens eine kryptographische Teil- 
operation yi=fj(xj, ki) von digital als Datenbitworte gespeicherten Daten x;, kj ausgefiihrt und 
das jeweilige Ergebnis bzw. jeweilige Zwischenergebnisse yi digital als Datenbitworte 
abgespeichert bzw. zwischengespeichert werden, 

dadurch gekennzeichnet, dass 

wenigstens eines der Daten Xi, kj und/oder das Ergebnis bzw. wenigstens ein 
Zwischenergebnis y t in Abhangigkeit von einem auf Zufallszahlen basierenden Steuersignal n 
wahlweise bitweise zu x n k i und/oder y i komplementiert wird oder nicht 

2. Verschlusselungsverfahren nach Anspruch 1, 
dadurch gekennzeichnet, dass 

in den kryptographischen Teiloperationen eine oder mehrere XOR-Verknupfungen (Exklusiv- 
Oder-Verkntipfung) ausgefiihrt werden. 

3. Verschlusselungsverfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, dass 

die Daten kryptographische Schliissel und/oder Operanden umfassen. 

4. Verschlusselungsverfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass 

Zwischenergebnisse yi zwischen der Ausfuhrung von aufeinander folgenden 
kryptographischen Teiloperationen in einem Register Ri zwischengespeichert und als Operand 
x i+1 der nachfolgenden kryptographischen Teiloperationen zugefuhrt werden. 

5. Verschlusselungsverfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass 

eine aus dem Zwischenergebnis yi einer vorangegangenen Teiloperation i erhaltene Bitfolge 
= y; fiir eine nachfolgende Teiloperation i+1 bitweise zu jc 1+i komplementiert wird, wenn 
die Daten xj, kj der vorangegangenen Teiloperation i bitweise komplementiert wurden. 
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6. Verschlusselungsverfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass 

bei der bitweisen Komplementierung wenigstens ein Bitwert, insbesondere die geraden 
5 Bitwerte, die ungeraden Bitweite oder alle Bitwerte, eines Datenbitwortes x*, k;, bzw. yi 
invertiert werden. 

7. Verschlusselungsverfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass 

10 eine Invertierung von Bitwerten bzw. Bitadressen eines Datenbitwortes xj, k;, bzw. yi bei der 
bitweisen Komplementierung mittels einer XOR-Operation (Exklusiv-Oder-Operation) 
durchgefuhrt wird. 

8. Verschlusselungsvorrichtung mit einer Berechnungseinheit und Registern Ri 
15 (14, 16), wobei die Berechnungseinheit wenigstens eine kryptographische Teiloperation 

yjzrf^xi, kj) (10, 12) von digital in den Registern R t (14, 16) der Verschlusselungsvorrichtung 
als Datenbitworte gespeicherten Operanden Xi, kj ausfiihrt und das jeweilige Ergebnis bzw. 
Zwischenergebnisse y 4 digital in den Registern Rj (14, 16) der Verschlusselungsvorrichtung als 
Datenbitworte abspeichert bzw. zwischenspeichert, 

20 dadurch gekennzeichnet, dass 

wenigstens ein von einem Steuersignal r^ steuerbarer Inverter (18 bis 28; 30) fur wenigstens 
eines der Daten Xi, kj und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis yi, ein 
Zufallszahlengenerator, welcher Zufallszahlen erzeugt, sowie eine Vorrichtung zum Erzeugen 
des Steuersignal r, auf den Zufallszahlen basierend vorgesehen ist, wobei der steuerbare 

25 Inverter (18 bis 28; 30) in Abhangigkeit von dem Steuersignals n wahlweise die Bitfolgen Xi, 
kj bzw. yj zu ihrem bitweisen Komplement x n k i bzw. y t umsetzt oder unverandert lasst. 

9. Verschlusselungsvorrichtung nach Anspruch 8, 
dadurch gekennzeichnet, dass 

30 wenigstens einem Register Rj (14, 16) ein Inverter (26, 28; 30) nachgeschaltet ist, welcher das 
identische Steuersignal n erhait, wie die der i-ten Teiloperation (10, 12) vorgeschalteten 
Inverter (18, 20) flir die Daten x., kj. 

10. Verschlusselungsvorrichtung nach Anspruch 9, 
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dadurch gekennzeichnet," dass 

der einem Register R t (14, 16) der i-ten Teiloperation (10, 12) nachgeschaltete Inverter 
(26, 28) mit einem der nachfolgenden (i+l)-ten Teiloperation (12) vorgesehalteten Inverter 
(20) fur ein Eingangsdatum Xj+i kombiniert ist. 

5 

11. Verschlusselungsvorrichtung nach Anspruch 10, 
dadurch gekennzeichnet, dass 

der kombinierte Inverter (30) sowohl das Steuersignal r t der vorangegangenen i-ten 
Teiloperation (10) als auch das Steuersignal ri +J der nachfolgenden (i-hl)-ten Teiloperation 
10 (12) erhait. 

12. Verschlusselungsvorrichtung nach einem der Anspriiche 8 bis 11, 
dadurch gekennzeichnet, dass 

die Daten kryptographische Schliissel und/oder Operanden umfassen. 

15 

13. Verschlusselungsvorrichtung nach einem der Anspriiche 8 bis 12, 
dadurch gekennzeichnet, dass 

ein Register Rj (14, 16) zwischen einer vorangegangenen i-ten Teiloperation (10) und einer 
nachfolgenden (i+l)-ten Teiloperation (12) ein Zwischenergebnis yi der vorangegangenen i- 
20 ten Teiloperation (10) speichert und dieses Zwischenergebnis als Eingangswert x i+ i an die 
nachfolgende (i+l)-te Teiloperation (12) weiterleitet. 

14. Verschlusselungsvorrichtung nach einem der Anspriiche 8 bis 13, 
dadurch gekennzeichnet, dass 

25 die bitweise Komplementierung wenigstens einen Bitwert, insbesondere die geraden Bitwerte, 
die ungeraden Bitwerte oder alle Bitwerte, eines Datenbitwortes Xj, ku bzw. yi invertiert. 
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